Анализ риска: моменты, которые следует учитывать при рассмотрении уровня риска, которому мы подвергаемся

Published on Февраль 2, 2009 by   ·   Комментариев нет

В наш информационный век понимание риска является важным элементом при принятии решения по выбору механизма защиты информации. Профессионалы области защиты информации сталкиваются с трудностями управления активами и прочими препятствиями, которые затрудняют применение соответствующих рычагов управления. Эта статья посвящена структуре, которая поможет определить соответствующие способы управления и контроля.

Ни один из рисков невозможно полностью устранить. Обычно уровень риска можно лишь снизить, а элементы управления используются для снижения потенциальных возможностей риска.

Существует два типа анализа рисков в области безопасности информации, количественный и качественный анализ риска. Количественный анализ риска измеряет риск, это означает, что риску присваивается значение, а результаты полностью базируются на фактах и цифрах. Качественный анализ рисков базируется на субъективной информации, а результат – это ощущение того, насколько уязвим или высок может быть риск. Разницу между двумя способами составляет факт и мнение. Однако большинство анализов основывается на мнении, или качественной версии анализа.

Риск и расчеты

При расчете риска очень полезно понимать, активы какой стоимости вы пытаетесь защитить. Когда речь идет об огромных активах бизнеса, таких как данные, только опытные оценщики риска смогут измерить стоимость активов. Это требует вкладов с различных частей предприятия, если данные распространяются по всему предприятию. Данные всегда были сложными для оценки и измерения активами, по этой причине стоит учитывать следующее’

Заметка: Стоимость данных измеряется не только тем последствием, которое данные возымеют на бизнес в случае их недоступности, но и стоимостью их обслуживания, воспроизводства и реконструкции к тому уровню, на котором они находились до потери. Поэтому необходимо учитывать все эти факторы.

Формулы для расчета значения данных могут быть очень сложными и трудными для понимания и измерения.

Давайте рассмотрим пример данных, хранящихся на вашем мобильном телефоне и поработаем с простыми расчетами значения данных при риске их потери.

Мобильный телефон стоимостью $500 с ОС имеет примерно пять других платных приложений стоимостью в $300 (ПО типа GPS, просмотровики, инструменты резервного копирования и т.д.). Время, которое требуется для загрузки ПО, можно рассчитать примерно за полдня, но в целях примера давайте допустим, что оно будет стоить $100. Время, необходимое для настройки мобильного телефона и снимка всех контактов и информации стоит $100. Общая стоимость активов и устройства составляет $1,000. Воздействия о того, что пользователь не сможет получить доступ к устройству, будут стоить $400; это потому, что пользователю потребуется время на перезагрузку ПО, удвоенное временем, потраченным, когда прибор был отключен.

Механизм защиты данных можно определить, как часть ПО или оборудования в форме резервного устройства или копии ПО в какой-либо другой форме.

Так как же рассчитать риск?

Расчет возможности является ключевым момент при расчете риска. Мы обязаны учиться у нашей истории и в этой связи мы должны учитывать частотность каждого агента угрозы. Агенты угроз проявляют себя в разных формах, ниже приведены несколько примеров.

Агенты угроз

При расчете риска необходимо учитывать некоторых агентов риска. Вот список, который ни в коем случае не является полным, но который даст вам общее представление об этих агентах.

  • Природные катастрофы
  • Пожар
  • Наводнения
  • Морозы
  • Жара
  • Антропогенные угрозы
  • Вирусы
  • Вредоносное ПО
  • Шпионские программы
  • Трояны
  • Черви
  • И многие другие подобные проблемы

Расчеты

Существует несколько расчетов, которые можно выполнить для измерения риска. Простым примером расчета будет Риск = Вероятность риска, умноженная (X) на цену случайности.

Вероятность однократной потери (Single Loss Expectancy – SLE) = Ценность актива (AV) X фактор подверженности (EF)

Когда вы рассчитали это, вы можете использовать следующую формулу,

Вероятность ежегодных потерь (Annual Loss Expectancy – ALE) = вероятность однократной потери (SLE), умноженная на ежегодную частоту инцидентов (Annual Rate of Occurrence – ARO)

Для дополнительной информации можете прочитать статью Risk Assessment and Threat Identification.

Управление риском

Существует множество способов управления риском, во многих случаях рискам противостоят путем применения элементов управления, снижающих или ограничивающих возможность риска, например, для снижения риска пожара устанавливаются противопожарные сигнализации и системы пожаротушения.

Советы специалистов

При ограничении возможности риска не забывайте изолировать активы, которые вы защищаете. Если вы изолируете актив, когда применяете элементы управления, это будет более эффективным в ценовом отношении, чем применение элементов управления ко всей среде. Может быть более разумным решением удалить уязвимые активы из среды; это в свою очередь снизит вероятность риска.

Элементы управления

При управлении рисками важно понимать, каковы будут контрмеры риску. Они могут принимать форму элементов управления, технического или административного управления, применяемого в качестве контрмер.

Технические элементы управления

Это типы элементов управления, которые можно установить и применить для снижения риска. Это такие элементы, как антивирусные программы, резервное копирование, шифрование, контроль доступа, контроль над оборудованием и ПО.

Логические элементы управления также известны, как технические элементы управления. Лучшим подходом здесь будет использование режима минимальных привилегий, который позволит только легитимным пользователям или субъектам получать доступ к определенному активу.

Физические

Физические элементы управления, которые можно применять для контроля над доступом к активам, включают такие вещи, как замки, оградительные заборы, камеры, барьеры, ограды, охранников и сторожевых собак. Разделение обязанностей формирует важную часть физических элементов контроля, поскольку это гибкая часть контроля.

Административные элементы контроля

Это элементы контроля, которые прописаны в виде политик и стандартов, применяемых для снижения риска. Примерами могут служить политики безопасности и подобные документы.

Моменты, которые следует учитывать

При анализе рисков вы всегда должны учитывать тот вклад в процесс, который вносит клиент. Этот вклад часто представляет собой мнение и имеет небольшое влияние на ситуацию, если только оно не понимается должным образом и фильтруется опытным аналитиком рисков. Всю информацию всегда нужно проверять, поскольку клиент с легкостью может повлиять на результаты, отвечая на вопрос особым образом; вот почему оценщик должен быть квалифицированным и опытным в области рисков.

Во многих случаях оценщики, с которыми я встречался, знали немного о профилях риска и о том, как следует выполнять анализ рисков. Обычно оценщики – это молодые люди, только что закончившие колледж, с небогатым опытом и следующие лишь тем процедурам, которые были предоставлены им организацией, консультирующей клиента. Эти процедуры созданы для определения рисков, если их заполнить корректно, но во многих случаях опрашиваемые клиенты могут изменять результаты путем тщательно продуманных ответов. Это сводит к нулю полезность ответов и риски не выясняются четко, в результате чего невозможно применить соответствующие контрмеры.

Классификация данных является тем, что становится наиболее распространенным способом контроля, это отличный пример гибкого контроля, который является логическим и административным, и который может помочь в снижении риска, поскольку позволяет организации защищать только уязвимые данные, а не все подряд. В этой связи стоимость решения значительно снижается, поскольку защищаются только уязвимые данные.

Резюме

В этой статье мы рассмотрели расчет рисков и типы элементов управления и контроля, которые можно использовать. Понимание основ риска и механизмов его оценки поможет в определении контрмер и элементов управления и контроля. Как однажды сказал мудрый человек, лучше быть на два года раньше, чем опоздать на один день.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]